[发明专利]一种防止恶意安全检测活动的监控方法及装置

说明书

本发明涉及一种防止恶意安全检测活动的监控方法及装置，其中，方法包括：配置参数，确定监控对象；向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；根据所述请处理的通知指令，读取所述临时文件，确定处理对象；向所述处理对象发送禁用客户端活动网卡的指令。

技术领域

本发明涉及计算网络安全技术领域，特别涉及一种防止恶意安全检测活动的监控方法及装置。

背景技术

甲方同意乙方开展针对甲方互联网站点的安全检测，并签订了协议，视为甲方向乙方授权，经过授权的安全检测活动是发现应用安全问题的主要手段，但非授权的安全检测活动就会演变成恶意攻击行为。在针对B/S应用进行安全检测时，有一类通过代理方式拦截、修改http/https请求的方法，是当前安全检测最常用的方法之一。在这一方法下，通过修改客户端web浏览器的代理配置，致使客户端产生的所有流量都被代理到指定的代理服务器。代理服务器在接收到客户端的请求之后，通过监听、修改等手段控制客户端请求，待达到目的之后，再发送给web服务器。web服务器根据提交过来的请求做出响应，响应数据发送给代理服务器，代理服务器在接收到真正服务器的响应之后，通过监听、修改等手段控制响应，待达到目的之后，再发送给客户端。以上被视为一次安全检测活动。从应用安全防护角度考虑，及时发现并阻断恶意的安全检测活动是一种有效手段。

目前业界发现并阻断恶意安全检测活动的方法主要是从web服务器一侧考虑，这样给web服务器一侧造成很大的压力，并且不能尽快发现恶意攻击行为。

发明内容

为解决现有技术的问题，本发明提出一种防止恶意安全检测活动的监控方法及装置，本技术方案从客户端检测是否设置了本地代理，作为客户端是否正在进行安全检测活动的一个判断条件，并据此做出告警提示或断开网络的处理动作。

为实现上述目的，本发明提供了一种防止恶意安全检测活动的监控方法，包括：

配置参数，确定监控对象；

向所述监控对象发送监测网卡活动状态的指令，直至发现活动网卡；

判断网卡处于活动状态的客户端是否配置了本地代理，如果网卡处于活动状态的客户端配置了本地代理，则将网卡处于活动状态且配置了本地代理的客户端的地址信息写入临时文件中，并产生请处理的通知指令；

根据所述请处理的通知指令，读取所述临时文件，确定处理对象；

向所述处理对象发送禁用客户端活动网卡的指令；

其中，监控对象为一个或多个客户端；参数为客户端的地址信息；地址信息为客户端的ip地址或ip段；

其中，本地代理是指客户端所设置代理的ip地址为客户端活动网卡的ip，或值为“127.0.0.1”的ip；

该方法应用于与客户端处于同一局域网的代理监控装置，所述局域网中的客户端无需设置代理或需要设置非本地代理即可接入互联网。

优选地，还包括：

向所述处理对象发送禁用客户端活动网卡的指令的同时，向所述处理对象发送文字提示“客户端已设置本地代理，请取消后再启用网卡使用”。

优选地，还包括：

如果网卡处于活动状态的客户端没有配置本地代理，则继续向所述监控对象发送监测网卡活动状态的指令。

优选地，所述参数为某个客户端的地址信息。

为实现上述目的，本发明还提供了一种防止恶意安全检测活动的监控装置，包括：